科學是驗證和試錯的過程,嚴格地說,驗證即證偽,試錯是 為了糾偏。
幾十年來,我國網信領域不經過科學驗證,或者驗證缺乏科 學態度走過場,甚至時間空間反復驗證充分證偽也不糾錯,憑空 想象、猜測、臆斷、捏合,不負責任胡亂結論、諱疾忌醫的事情 經常發生。
某些既得利益者編織的反科學樊籠,嚴重禁錮了我國網信領 域自主創新的思想、意志和行動。尤其是涉及重大的網絡信息安 全問題,公然悖逆科學常識的錯謬大行其事,即便一二十年的實 踐證明過猶不及的事實俱在,也不予矯枉過正。國內針對基礎設 施、關鍵技術自主創新提出和研發的協議、標準、見解、發明, 一再橫遭打擊、冷漠、壓制,長期得不到科學實驗和驗證的公開、 公正、公平的輿論呵護、政府扶持、法治保護和資源保障。不能 不發人深省。
一、“鏡像”替代“根域名”的謬論必須澄清
鏡像服務器可以替代根域名服務器的說法,時下又在網上網 下活躍起來。有人以此論證因特網“斷網”不可能發生,“斷網” 對我國網絡運營和服務不會有影響。“鏡花水月”的說道,竟然 錚錚有詞地成了因特網的“科學論斷”?
因特網的域名系統(簡稱 DNS),是通過一系列復雜運算組 合其指定的域名、IP 地址和自治域,適應與支撐不斷演變的應用 功能最基礎、核心的數字化系統。其中包括:
——通信協議的關聯規范(美國因特網工程任務組 IETF 至 2020 年 10 月共計發布了 291 個 RFC 文件);
——注冊域名和分配的地址組成的數字化空間;
——根域名、頂級域名、權威通用域名層次化服務的體系結 構;
——基礎軟件定位及實施指揮與控制(自主研發專用,或開 源“免費”使用)。
顯而易見,雖然“根域名”重要,但僅僅是因特網中構成數 字化系統的一個子系統。“鏡像”根域名,不可能是照了張“全家 福”,也絕不可能反射或反應層次化服務體系結構的全部運轉和 運行真相。以偏概全,一葉障目,向來是哲學與科學的大忌,是 反哲學、逆科學的一貫伎倆。
換句話說,作為子系統的“根域名”即便是被“鏡像替代”, 也不可能規避、防止其它關聯子系統被攻擊或被限制,整個域名解析系統(DNS)停服或斷網仍然不可避免,仍然只能是不堪一 擊的“馬其諾防線”。
如果建幾個“鏡像服務器”就可以輕而易舉地替代“根域名” 子系統,黑客們完全有理由和動機在因特網中建上多個虛假、另 類的“根域名”子系統“攪得周天寒徹”,何必還整天鉆漏洞、設 木馬、放病毒呢?為什么“不”呢?是不能,還是不可能?還是 能也不能?
“鏡像替代”論者從一開始,就將美國為實驗和驗證 IPv6 可 操作性提出的“雪人計劃”,編造成自主創新“鏡像替代”的故 事,為了自圓其說不斷地撒謊,甚至拉幫結派地撒謊。“帶頭大 哥”說,美國因特網在歐洲的根服務器有一個在英國,于是乎, 主流媒體、著名高校、科研機構、專家學者以訛傳訛,多少年來 都異口同聲地咬定英國有因特網的根域名服務器。事實是,13 個 “根域名服務器”系統有一個在荷蘭、一個在瑞典,30 多年從 未改變過,公開信息,稍微查一下就明了。盲目崇信“權威”、 “教授”不科學、不嚴謹麻木如此,不嚴肅、不負責荒謬這般, 可見我國網信樊籠害人匪淺。
還有多少這樣愚弄我國網民、網信從業人士、主政網信官員 的事情和是非,真應該好好查查、清清、算算!
二、“盲人摸象”式地“創新”研發必須扭轉
科學道路上沒有捷徑。有人提出“通過鏡像頂級域名的數據,作為根域名鏡像方案的缺失互補和頂級域名被停服的備份”,自我標榜地稱之為“拍案叫絕的”創新。實際上,掩蓋了缺乏核心 協議基礎研發的安全隱患,套上嘩眾取寵的“馬甲”掩耳盜鈴, 在錯誤的方向和道路上漸行漸遠。
1)根據中國信息通信研究院的報告(信通院 2020-6),截至 2019 年 12 月,我國域名注冊市場規模為 5,108.8 萬個,其中,國 家頂級域“.CN”域名 2,300 萬個;“.COM”域名 1,566 萬個;合 計占我國域名市場的 75.7%。活躍域名數量分布:
圖 1 可見,我國活躍域名的解析超過 91%依賴于境外服務。是境內網信樊籠鎖住了境內的自主服務,還是境外網信樊籠關閉 了境內的自主服務?還是境內境外聯合構成了封殺封閉我國境內域名解析自主創新的網信樊籠?
2)根據對全球互聯網公共(遞歸)域名服務器的監測統計, 截至 2020 年 12 月 4 日,中國大陸擁有公共域名服務器(僅僅是 53 端口/UDP)的數量為 776,618 臺,占全球總數的 39.97%。請 注意,這是在動態變化的數量,例如,10 月 22 日的數量為 1,106,552 臺,占全球總數的 46.18%。
那么,是誰以及為誰提供公共的 DNS 服務?作為域名空間 入口的遞歸域名解析服務,在我國處于良莠不齊的混沌境地,安 全監管嚴重缺失。這是不是長期盤根錯節的網信樊籠所致?
3)內容分發網絡(簡稱 CDN,又被稱為是“加速”網),正 在被大量普遍地針對性應用于中國的網絡信息領域,方興未艾。CDN 是疊加在傳統網絡基礎設施上的虛擬網,借助于 DNS 實現 用戶定位(負載均衡)重定向,即選擇(確定)終端用戶與業務 服務之間的最佳匹配(如最短響應時間及路徑)。
其中一個典型的隱性特點是,通過傳統的域名解析,數據不 再映射到 IP 地址,而是轉換(旋轉)到預設置的域名“別名” (簡稱 CNAME),進而不透明地實現對業務和應用(包括數據 流)指揮與控制的實時動態轉移(或曰時空遷移)。
例如,美國駐中國大使館(其各領事館也是相同模式),以 頂級域名“.CN”注冊了其權威域名。在實際應用時,通過“別 名”(CNAME)實時轉移(旋轉)到美國 Akamai 公司在美國境 內的托管服務:
傳統域名解析服務模式被 CNAME 實時旋轉模式顛覆,似乎 是“神不知鬼不覺”,如何能夠鏡像?又如何能夠實現“鏡像替 代”?這究竟是誰針對誰的“拍案叫絕”?
試圖“以頂級域名的鏡像應對頂級域名的停服”,還必須兼 顧對域名空間入口(遞歸服務)的信息同步,小范圍也許可以做 到,在全國全網是不可能實現的。這種一廂情愿臆想臆斷地“盲 人摸象”,也許是對網信樊籠的一種下意識地掙扎,卻只能是毫 無科學力量支撐地徒勞。
三、美國對我斷網停服的技術必然性不可否認
“鏡像替代”論者斷言,“互聯網(Internet)的‘DNS 根服 務器’不是‘核按鈕’”。曾幾何時,多家媒體大加渲染這個“正 確答案”。
因特網應用中,有一個專用術語是“終止開關”(Kill Switch), 即在緊急情況下關閉所控制的網絡或服務的安全功能。這就像是 家家戶戶那個“總電門”。這也是因特網的常識。
2016 年 7 月 12 日,美國因特網域名與數字分配機構 ICANN 發表官方博文,題為:“何謂互聯網(Internet)終止開關?誰有鑰匙(密碼)?”文中回答,域名根的解析服務需要加密驗證, 由 ICANN 負責,所運用的先進技術是 KSK(密鑰簽名密鑰), 也是互聯網(Internet)的鑰匙。宣示了因特網“終止開關”的存 在。ICANN 自 2019 年以來連續兩年部署和實施“DNS 執行日” (DNS Flag Day),為“無縫地過渡到未來 30 年 DNS 時代”奠 定基礎。
上世紀九十年代(或更早),美國國家安全局(NSA)就已經 提出和實踐在網絡信息環境攻防的“武器化”。目前仍在使用的 “XKeyScore”網絡監聽工具,業內稱為“敲響 DNS 喪鐘”的“悠 悠牛鈴聲”(MoreCowBell)等,都是典型的“武器化”工具和手 段,主要依托于被預置在硬件和軟件及通信協議中的后門及暗樁。2020 年 9 月 30 日,美國國防部發布“數據戰略”,強調數據“武 器系統”,正式拉開搶占“信息優勢”和“決策優勢”的帷幕。
DNS 既具有網絡通信“電話簿”作用,更是類似于“北斗” 和 GPS 的因特網“定位”系統,以及指揮和控制中樞。在 DNS 近 40 年沿革和發展的歷史中,可見三個主要階段:
上述“正確答案”,顯然是沉浸(或停留在)上世紀九十年代 的慣性思維不思進取,對某些專家和國人的思想、意志和行為的 誤導,是我國網信樊籠深度阻遏與羈絆的表現。
終止開關是美國 ICANN 明示的因特網最關鍵、最核心、最 深或最高層次嚴密控制的“暗樁”,是可以瞬間指向因特網覆蓋 的任一區域性、局域性、行業性、專業性范疇令其斷網停服(癱 瘓網絡)的控制中心。因特網的“終止開關”就是“核按鈕”,一 旦啟動,必然會對我國政治經濟社會發展產生影響深遠的巨大綜 合破壞力。否認因特網“終止開關”的“核按鈕”性質與功能, 不是什么技術創新,更不是什么“大義凜然”,而是蓄意掩飾“帝 國主義忘我之心不死”的真相,是麻痹我們心智、束縛我們手腳 的別有用心。
習近平總書記告誡全黨全軍和全國人民,“沒有意識到風險 是最大的風險。”預判風險所在是防范風險的前提,把握風險走 向是謀求戰略主動的關鍵。
久在樊籠里,復得返自然。堅定不移地建設網絡強國、數字 中國,堅持維護國家主權、安全、發展利益,全黨全軍全國人民 同心同德,頑強奮斗,自力更生,自主創新,一定能夠全面開創 我國網信領域的新時代、新征程、新發展格局。
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
